활성화에 Azure MFA 사용

 

PAM 역할을 구성할 때 후보 사용자가 역할을 활성화하는 데 필요한 권한 부여 요구 사항을 지정할 수 있습니다. PAM 권한 부여 활동을 구현하는 선택 사항:

  • 역할 소유자 승인
  • Azure MFA

검사를 전혀 사용하지 않는 경우 후보 사용자가 자신의 역할에 대해 자동으로 활성화됩니다.

Microsoft Azure MFA(Multi-Factor Authentication)는 사용자가 모바일 앱, 전화 통화 또는 문자 메시지를 사용하여 로그인 시도를 확인해야 하는 인증 서비스입니다. Microsoft Azure Active Directory와 함께 사용할 수 있으며 클라우드 및 온-프레미스 엔터프라이즈 응용 프로그램을 위한 서비스로 사용할 수 있습니다. PAM 시나리오의 경우, Azure MFA에서는 이전에 후보 사용자가 Windows PRIV 인증에 사용한 방법에 관계 없이 권한 부여에 사용할 수 있는 추가 인증 메커니즘을 제공합니다.

Azure MFA를 MIM과 함께 사용하려면 다음이 필요합니다.

  • Azure MFA 서비스 연결에 사용되는, PAM을 제공하는 각 MIM 서비스에서의 인터넷 액세스
  • Azure 구독
  • 후보 사용자의 Azure Active Directory Premium 라이선스 또는 Azure MFA 라이선스 방법
  • 모든 후보 사용자의 전화 번호

이 섹션에서는 Microsoft Azure Active Directory에 Azure MFA 공급자를 설정합니다. Azure MFA를 독립 실행형 또는 Azure Active Directory Premium에 구성된 상태로 이미 사용하고 있는 경우에는 다음 섹션을 건너뜁니다.

  1. 웹 브라우저를 열고 Azure 구독 관리자로 Azure 관리 포털 https://manage.windowsazure.com에 연결합니다.

  2. 왼쪽 아래 모서리에서 새로 만들기를 클릭합니다.

  3. 앱 서비스 > Active Directory > Multi-Factor Authentication 공급자 > 빠른 생성을 클릭합니다.

  4. 이름 필드에 PAM을 입력하고 사용 모델 필드에서 활성화된 사용자별을 선택합니다. Azure AD 디렉터리가 이미 있는 경우에는 해당 디렉터리를 선택 합니다. 마지막으로 만들기를 클릭합니다.

다음으로는 Azure MFA에 연결하기 위해 MFA에서 필요로 하는 인증 자료가 포함된 파일을 생성합니다.

  1. 웹 브라우저를 열고 Azure 구독 관리자로 Azure 관리 포털 https://manage.windowsazure.com에 연결합니다.

  2. Azure 포털 메뉴에서 Active Directory를 클릭한 다음 Multi-Factor Authentication 공급자 탭을 클릭합니다.

  3. PAM에 사용할 Azure MFA 공급자를 클릭한 다음 관리를 클릭합니다.

  4. 새 창에서 왼쪽 패널의 구성 아래에서 설정을 클릭합니다.

  5. Azure Multi-Factor Authentication 창에서 다운로드 아래에 있는 SDK를 클릭합니다.

  6. 언어가 SDK for ASP.net 2.0 C#인 파일에 대해서는 ZIP 열에서 다운로드 링크를 클릭합니다.

Azure MFA 활성화

  1. 결과 ZIP 파일을 MIM 서비스가 설치되는 각 시스템에 복사합니다.

참고: 이 ZIP 파일에는 Azure MFA 서비스에 인증하는 데 사용되는 키 관련 자료가 있습니다.


  1. MIM 서비스가 설치된 컴퓨터에 관리자나 MIM을 설치한 사용자로 로그인합니다.

  2. MIM 서비스가 설치된 디렉터리 아래에 새 디렉터리를 만듭니다(예: C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts).

  3. Windows 탐색기를 사용하여 이전 섹션에서 다운로드한 ZIP 파일의 "pf\certs" 폴더로 이동하고 cert_key.p12 파일을 새 디렉터리에 복사합니다.

  4. Windows 탐색기를 사용하여 ZIP 파일의 "pf" 폴더로 이동하고 텍스트 편집기에서pf_auth.cs 파일을 엽니다. 텍스트 편집기가 설치되어 있지 않은 경우에는 워드패드를 사용하여 파일을 봅니다.

  5. ICENSE_KEY, GROUP_KEY, CERT_PASSWORD의 세 매개 변수를 찾습니다.

MFA 활성화

  1. 메모장을 사용하여 C:\Program Files\Microsoft Forefront Identity Manager\2010\Service에 있는 MfaSettings.xml을 엽니다.

  2. pf_auth.cs 파일의 LICENSE_KEY, GROUP_KEY, CERT_PASSWORD 매개 변수 값을 MfaSettings.xml 파일의 해당 xml 요소에 복사합니다.

  3. <CertFilePath> XML 요소에서 이전에 추출한 cert_key.p12 파일의 전체 경로 이름을 지정합니다.

  4. <username> 요소에 사용자 이름을 입력합니다.

  5. <DefaultCountryCode> 요소에 사용자에게 전화를 거는 데 사용할 국가 코드를 입력합니다(예: 미국 및 캐나다는 1). 이 값은 사용자가 국가 코드가 없는 전화 번호로 등록한 경우에 사용됩니다. 사용자의 전화 번호에 조직에 대해 구성된 것과 다른 국제 국가 코드가 있는 경우에는 등록할 전화 번호에 해당 국가 코드를 포함해야 합니다.

  6. MIM 서비스 폴더 C:\Program Files\Microsoft Forefront Identity Manager\2010\ServiceMfaSettings.xml 파일을 저장하고 덮어씁니다.


참고: 프로세스를 종료할 때 MfaSettings.xml 파일이나 복사본 또는 ZIP 파일을 공개적으로 읽을 수 없는지 확인해야 합니다.


사용자가 Azure MFA가 필요한 역할을 활성화하려면 MIM에 사용자의 전화 번호를 저장해야 합니다. 이 특성을 설정하는 방법에는 두 가지가 있습니다.

첫 번째는 New-PAMUser 명령으로 CORP 도메인에 있는 사용자의 디렉터리 항목에서 MIM 서비스 데이터베이스로 전화 번호 특성을 복사하는 것입니다. 이 작업은 일회성입니다.

두 번째는 Set-PAMUser 명령으로 MIM 서비스 데이터베이스의 전화 번호 특성을 업데이트하는 것입니다. 예를 들어, 다음은 MIM 서비스에서 기존 PAM 사용자의 전화 번호를 바꿉니다. 해당 디렉터리 항목은 변경되지 않습니다.

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212  

PAM 역할의 모든 후보 사용자가 MIM 서비스 데이터베이스에 전화 번호를 저장하고 나면 Azure MFA에서 역할을 사용하도록 설정할 수 있습니다. 여기에는 New-PAMRole 또는 Set-PAMRole 명령을 사용합니다. 예:

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1  

Set-PAMRole 명령에 "-MFAEnabled 0" 매개 변수를 지정하면 역할에 대해 Azure MFA를 사용하지 않도록 설정할 수 있습니다.

권한 있는 액세스 관리 이벤트 로그에서 다음 이벤트를 찾을 수 있습니다.

ID심각도생성설명
101오류MIM 서비스사용자가 Azure MFA를 완료하지 않음(예: 전화에 응답하지 않음)
103정보 산업MIM 서비스사용자가 활성화 과정에서 Azure MFA 완료
825경고PAM 모니터링 서비스전화 번호가 변경됨

전화 통화 실패(이벤트 101)에 대한 자세한 내용을 보려는 경우 Azure MFA에서 보고서를 보거나 다운로드할 수도 있습니다.

  1. 웹 브라우저를 열고 Azure AD 전역 관리자로 Azure 관리 포털 https://manage.windowsazure.com에 연결합니다.

  2. Azure 포털 메뉴에서 Active Directory를 클릭한 다음 Multi-Factor Authentication 공급자 탭을 클릭합니다.

  3. PAM에 사용하는 Azure MFA 공급자를 클릭한 다음 관리를 클릭합니다.

  4. 새 창에서 사용을 클릭한 다음 사용자 세부 정보를 클릭합니다.

  5. 시간 범위를 선택하고 추가 보고서 열에서 이름 옆의 확인란을 선택합니다. CSV로 내보내기를 클릭합니다.

  6. 보고서가 생성되면 포털에서 볼 수 있으며, MFA 보고서가 큰 경우에는 CSV 파일로 다운로드할 수 있습니다. AUTH TYPE 열의 "SDK" 값은 PAM 활성화 요청과 관련된 행으로, MIM 또는 다른 온-프레미스 소프트웨어에서 오는 이벤트를 나타냅니다. USERNAME 필드는 MIM 서비스 데이터베이스의 사용자 개체 GUID입니다. 호출에 성공하지 못할 경우 AUTHD 열의 값은 "No"가 되고, CALL RESULT 열의 값에는 실패의 이유에 대한 세부 정보가 포함됩니다.

표시: